Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Phần mềm độc hại Konfety sử dụng APK không đúng định dạng để lẩn tránh

14:37 | 17/07/2025
Hồng Đạt

Một biến thể mới của phần mềm độc hại Konfety trên Android xuất hiện với cấu trúc ZIP không đúng định dạng cùng với các phương pháp che giấu khác, điều này cho phép phần mềm độc hại này trốn tránh việc phân tích và phát hiện bởi các chuyên gia cũng như các giải pháp bảo mật.

Quảng cáo không mong muốn

Konfety hoạt động như một ứng dụng hợp pháp, mạo danh các ứng dụng có sẵn trên Google Play, nhưng không có bất kỳ chức năng nào giống như quảng cáo.

Khả năng của Konfety bao gồm chuyển hướng người dùng đến các trang web độc hại, đẩy các cài đặt ứng dụng không mong muốn và thông báo giả mạo trên trình duyệt. Ngoài ra, nó sẽ tìm nạp và hiển thị các quảng cáo ẩn bằng CaramelAds SDK và đánh cắp thông tin như ứng dụng đã cài đặt, cấu hình mạng và thông tin hệ thống.

Hình 1. Quảng cáo và chuyển hướng không mong muốn được kích hoạt bởi Konfety

Mặc dù Konfety không phải là phần mềm gián điệp hoặc công cụ RAT, nhưng nó bao gồm một tệp DEX mã hóa bên trong APK, được giải mã và tải khi chạy, chứa các dịch vụ ẩn được khai báo trong tệp AndroidManifest. Điều này mở ra cơ hội để cài đặt thêm các mô-đun một cách linh hoạt, do đó cho phép cung cấp các khả năng nguy hiểm hơn đối với các loại mã độc hiện tại.

Chiến thuật trốn tránh

Các nhà nghiên cứu đến từ công ty bảo mật di động Zimperium (Mỹ) đã phát hiện và phân tích biến thể Konfety mới nhất và cho biết rằng: phần mềm độc hại này sử dụng một số phương pháp để che giấu bản chất và hoạt động thực sự của nó.

Konfety đánh lừa nạn nhân cài đặt bằng cách sao chép tên và thương hiệu của các ứng dụng hợp pháp có sẵn trên Google Play, phân phối thông qua các cửa hàng của bên thứ ba - một chiến thuật tinh vi được nhiều tác nhân độc hại triển khai. Những thị trường này thường là nơi người dùng tìm kiếm các phiên bản “miễn phí” của các ứng dụng cao cấp. Việc tải code động, trong đó logic độc hại ẩn trong tệp DEX mã hóa khi thực thi là một cơ chế che giấu và trốn tránh hiệu quả khác mà Konfety sử dụng.

Một chiến lược chống phân tích không phổ biến trong Konfety, đó là thao túng các tệp APK hoặc phá vỡ các công cụ phân tích tĩnh và kỹ thuật dịch ngược.

Đầu tiên, APK đặt cờ General Purpose Bit thành “bit 0”, báo hiệu rằng tệp đã được mã hóa, mặc dù thực tế không phải vậy. Điều này kích hoạt lời nhắc nhập mật khẩu sai khi cố gắng kiểm tra tệp, ngăn chặn hoặc trì hoãn quyền truy cập vào nội dung của APK.

Thứ hai, các tệp quan trọng trong APK khai báo bằng cách sử dụng BZIP (0x000C), không được các công cụ phân tích như APKTool và JADX hỗ trợ, dẫn đến lỗi phân tích cú pháp.

Hình 3. Công cụ phân tích bị crash khi cố gắng phân tích APK độc hại

Trong khi đó, Android bỏ qua phương thức đã khai báo và quay lại xử lý mặc định để duy trì tính ổn định, cho phép ứng dụng độc hại cài đặt và chạy trên thiết bị mà không có vấn đề gì xảy ra. Sau khi cài đặt, Konfety ẩn biểu tượng và tên ứng dụng, đồng thời sử dụng Geofencing (một công nghệ sử dụng vị trí địa lý để tạo ra ranh giới ảo xung quanh một khu vực cụ thể) để thay đổi hành vi theo khu vực của nạn nhân.

Twitter Zalo Facebook YouTube Copy Link QR Code
ZIP CỬA HÀNG THỨ BA ANDROID GOOGLE PLAY PHẦN MỀM ĐỘC HẠI TRỐN TRÁNH PHÁT HIỆN APK KONFETY
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết